Die EU stemmt sich gegen die Macht der großen Internet-Plattformen

Was im Ermittlungsverfahren der Anfangsverdacht, ist bei Online-Vermittlungsdiensten der Faktencheck. Dazu verpflichtet der Digital Services Act große Internet-Plattformen und -Suchmaschinen. Zusammen mit dem Digital Markets Act und der jüngst verabschiedeten KI-Verordnung wird deutlich: Die EU will die Onlineanbieter zähmen. Ob das gelingt, wird man sehen.
vom 8. Juli 2024
image

Seit Beginn seiner Amtszeit kämpft der bayerische Justizminister Georg Eisenreich gegen Hass und Hetze im Internet. Für die Justiz bestellte er Deutschlands ersten Hate-Speech-Beauftragten bei der Generalstaatsanwaltschaft München, in allen 22 bayerischen Staatsanwaltschaften richtete er Spezialdezernate ein. Wer sich von Hassreden getroffen fühlt, kann sich online bei der Meldestelle REspect beschweren und bei Bestätigung eines strafbewehrten Sachverhalts auf Ahndung hoffen. „Die Betreiber von Online-Plattformen müssen stärker in die Pflicht genommen werden”, sagt Eisenreich. “Ich habe mich beim Digital Services Act und Digitale-Dienste-Gesetz im Gesetzgebungsverfahren für möglichst strenge Regelungen beim Löschen und Melden von Straftaten durch die Plattformbetreiber eingesetzt.” Der EU-weit geltende DSA biete zweifellos große Chancen, künftig effizienter gegen illegale Online-Inhalte vorzugehen. “Gleichwohl sehe ich nach wie vor Defizite und auch Rückschritte gegenüber dem NetzDG, etwa das Fehlen einer klaren und vor allem fristgebundenen Löschpflicht der Plattformbetreiber bei illegalen Inhalten sowie die unklare und zu wenig weitreichende Meldepflicht gegenüber den Strafverfolgungsbehörden.” Umso mehr werde es auf einen konsequenten Vollzug der Plattformpflichten durch die Aufsichtsbehörden ankommen. Die Mahnung passt zum Brüsseler Balanceakt, unter Wahrung der Freiheit des Wortes strafrechtlich gegen rechtswidrige Inhalte im Netz vorgehen zu wollen. Die Quadratur des Kreises gelang dank der hochflexiblen Auslegung beider Formen. Mit dem miteinander verschränkten Argument, die individuellen Grundrechte der Bürger schützen (Art. 14) und gleichzeitig mittels der Aufsichtspflicht der Anbieter die systemischen Risiken mindern zu wollen (Art. 34, 35), passierte der europäische Digital Services Act (DSA) als rechtsverbindliche EU-Verordnung sämtliche Instanzen. Damit bekommen einerseits die Nutzer konkret festgeschriebene Rechte, um sich selbst zu wehren. Andererseits müssen die EU-Mitgliedstaaten Stellen für die behördliche Rechtsdurchsetzung benennen, die selbsttätig gegen Anbieterverstöße vorgehen und Bußgelder verhängen können. Seit Februar gilt der DSA für alle Anbieter von digitalen Diensten („Online-Vermittlungsdienste“), die Kundendaten wie Bilder, Kommentare oder Nutzerbewertungen speichern. Das betrifft sowohl Kleinstunternehmen wie Agenturen, Online-Shops und Blogger als auch die bereits im Jahr zuvor zu besonderen Sorgfaltspflichten angehaltenen Konzerne. Allein der Umfang der zu befolgenden Regelungen und Sorgfaltspflichten unterscheidet sich. Als Online-Vermittlungsdienste gelten (1) Vermittlungsdienste wie Internet Service Provider, Access Points, Virtuelle Private Netzwerke (VPN), DNA- und Caching-Dienste wie Content Delivery Networks und Reverse Proxies, (2) Hosting-Dienste wie Cloud-Services und Webhosting, (3) Online-Plattformen wie soziale Netze, Online-Marktplätze, Musikdienste zur Veröffentlichung von Privatpersonen sowie Online-Suchmaschinen. Besonders strenge Auflagen gelten für (4) Very Large Online Plattforms (VLOP wie Amazon, Booking, Facebook, Instagram, LinkedIn, Pinterest, YouTube, Temu) und Very Large Online Search Engines (VLOSE wie Google und Bing) mit im Monatsdurchschnitt mehr als 45 Millionen aktiven Nutzern in der EU. Der DSA gilt auch für Unternehmen mit Sitz außerhalb der EU, wenn eine wesentliche Verbindung zur Gemeinschaft besteht, wenn sie also Nutzer oder eine Niederlassung in der Union haben. Bis auf das chinesische Unternehmen AliExpress handelt es sich bei den Hauptadressaten des Gesetzes um US-amerikanische Anbieter. Nicht dem DSA unterliegen Unternehmen und Organisationen, die sich im Internet auf die Darstellung eigener Inhalte beschränken oder die fremde Plattformen zur Anbahnung oder zum Abschluss von Vertragsverhältnissen nutzen. Da die zentrale Verordnung zur Plattformregulierung mit freiwilligen, aber ausdrücklich als erwünscht erklärten Verhaltenskodizes, Leitlinien und Krisenprotokollen ergänzt wird, gleicht sie einmal mehr einer Chimäre aus einklagbarem Recht und unverbindlichem Soft Law. An letzterem findet die oft uneinige EU-Kommission seit Längerem Gefallen; man denke an den EU-Verhaltenskodex gegen Desinformation von 2022. Er wurde zwar unter anderen von Meta/Facebook, Google, Clubhouse und TikTok, aber auch von Werbeverbänden wie die World Federation of Advertisers und NGOs wie Avaaz und Reporter ohne Grenzen unterzeichnet, doch zwischenzeitlich haben sich einige schon wieder davon distanziert. In Deutschland löst der Digital Services Act das umstrittene Netzwerkdurchdringungsgesetz (NetzDG) ab, mit dem europaweit zum ersten Mal Hassverbrechen in sozialen Medien kodifiziert wurden. Mit dem Digitale-Dienste-Gesetz (DDG) wurde die Umsetzung des DSA bereits auf den Weg gebracht. Die Aufsichtsstelle ist die Bundesnetzagentur, als zentrale Meldestelle für strafbare Inhalte das Bundeskriminalamt vorgesehen. Während der DSA Transparenz, Nutzersicherheit und Haftung auf Online-Plattformen gewährleistet, verschärft der bereits im Mai 2023 in Kraft getretene Digital Markets Act (DMA) die Wettbewerbsregeln für die sogenannten Gatekeeper-Plattformen. 

Das sind vor allem Online-Suchmaschinen, Betriebssysteme, Webbrowser, virtuelle Assistenten und soziale Netzwerke. Der DMA regelt, wie große Online-Plattformen die Sicherheit der Nutzer gewährleisten sollen. Vor allem aber verlangt er von ihnen, die Einwilligung der Nutzer einzuholen, bevor sie personenbezogene Daten für gezielte Werbung nutzen. In Verbindung mit dem DSA liefert diese Einwilligung die Rechtsgrundlage für die Erhebung von Daten, die durch die Kombination von Informationen aus verschiedenen internen oder externen Quellen zu personenbezogenen Daten gebildet werden können. Verboten ist demnach die Integration der Nutzerdaten von Websites, die Google Analytics verwenden, oder die Kombination der Daten von Facebook, Instagram und WhatsApp zu einem Nutzerprofil. Außerhalb der Plattform des Gatekeepers dürfen Nutzer nur mit wirksamer Einwilligung verfolgt („getrackt“) und personenbezogene Daten nicht mehr für gezielte Werbung verwendet werden. Das bedeutet, dass Nutzer ohne explizite Einwilligung keine Empfehlungen basierend auf dem Profiling seitens der VLOP erhalten sollen: Cross-Selling und Cross-Werbung für Dienste sind nicht mehr erlaubt. Weil sich die Einwilligungsansprüche von DSA und DMA mit der Datenschutz-Grundverordnung überlappen – auch die DSGVO verlangt eine Einwilligung, um Nutzerdaten online zu erheben – können nicht-konforme Plattformen nun wegen mehrfacher Verstöße belangt werden. Obgleich sich diese Gesetze hauptsächlich an die großen Tech-Anbieter richten, werden sie auch andere Unternehmen beeinflussen. Das sind insbesondere solche, die Cookies verwenden oder eine große Menge an von Dritten erhobenen Daten aus Quellen wie Google Search, Google Ads, Google Analytics, Chrome, Bing oder YouTube besitzen. Diese Daten dürfen fortan ohne die ausdrückliche Einwilligung der Nutzer nicht mehr verwendet werden. Die Unternehmen müssen folglich ihren Datenbestand prüfen. Um die neuen Regeln einzuhalten, benötigen sie außerdem eine anwenderfreundlich gestaltete Bedienoberfläche sowie sorgsam gestaltete interne Prozesse, die eine kontinuierliche Compliance ermöglichen. Dies gilt insbesondere, wenn sie zur Erstellung von Transparenzberichten und unabhängigen Tests verpflichtet sind. Doch es gibt nicht nur Nachteile. Kleinere Unternehmen können nun illegale und geschäftsschädliche Aktivitäten bei der Aufsichtsbehörde melden. Es sollen Beschwerdeverfahren eingerichtet werden, die besseren Schutz vor unberechtigter Entfernung bieten und damit die Verluste für gesetzestreue Unternehmer begrenzen.



EU Data Act und KI-Verordnung

Am 21. Mai 2024 hat der Rat der Europäischen Union den AI Act verabschiedet. Als weltweit erstes umfassendes Gesetz zur Regulierung von künstlicher Intelligenz zielt die KI-Verordnung darauf ab, einheitliche Vorgaben für die Entwicklung und Nutzung von künstlicher Intelligenz in der Europäischen Union festzulegen. Die Verordnung unterscheidet vier Risikostufen, an die unterschiedlich intensive Compliance-Anforderungen gestellt werden. KI-Praktiken mit unannehmbaren Risiken sind verboten, so etwa das Social Scoring oder die Emotionserkennung am Arbeitsplatz oder in Bildungseinrichtungen. Beim Einsatz von Hochrisiko-KI-Systemen in sicherheits- oder grundrechtssensiblen Bereichen ist ein präventives Risikomanagement verpflichtend. Ähnlich hohe Anforderungen gelten für KI-Systeme mit besonderen Risiken, vor allem für generative KI-Modelle, wie sie etwa ChatGPT zugrunde liegen, für Chatbots und Deepfakes, also realistisch wirkende Medieninhalte, die durch KI erzeugt oder verändert worden sind. Für diese gelten spezifische Transparenzpflichten, die ein Label für bestimmte KI-generierte Inhalte vorsehen. Für alle anderen KI-Anwendungen sind Schulungen und ein Code of Conduct vorgeschrieben. Wie das ausgeklügelte Gesamtpaket von DMA, DSA und KI-Verordnung zur im November 2023 verabschiedeten „Verordnung über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung“ (EU Data Act) passt, bleibt nur oberflächlichen Beobachtern ein Rätsel. Alle anderen wissen, dass den Europäern vor allem die großen überseeischen Tech-Giganten ein Dorn im Auge sind. Mit dem Data Act will die EU das in der europäischen Datenstrategie festgelegte Ziel erreichen, durch mehr Datennutzung mehr Wertschöpfung zu erzeugen, insbesondere für neue Geschäftsmodelle, Start-Ups und KMU. Lies: Die Datenmacht der Big Player außerhalb der EU soll beschränkt, die Datennutzung durch Unternehmen in der Union hingegen forciert werden. Spitzer formuliert: Unternehmen in der EU sollen vor Vertragsbedingungen geschützt werden, die ihnen von einer Partei auferlegt werden, die eine wesentlich stärkere Marktposition einnimmt. Der EU Data Act trat im Januar 2024 in Kraft und wird nach einer Übergangszeit im September 2025 EU-weit direkt anwendbares Recht werden. Mit ihrem fortgesetzten Mäanderkurs macht die EU die Arbeit der Unternehmensjuristen nicht eben leichter, kritisierten die Rechtsprofessoren Rolf Schwartmann und Tobias Keber und der Gründer Monish Darda unlängst in der Frankfurter Allgemeinen Zeitung. „Was bis dato fehlt“, kritisieren die Autoren, „ist ein aufeinander abgestimmtes, schlüssiges Gesamtkonzept für ein kohärentes Digital-, Daten- und KI-Recht der Europäischen Union.“ Ein solches gelinge nicht, indem man in neuen Rechtsakten, beispielsweise dem Data Act, dem Digital Services Act, aber auch der KI-Verordnung, gebetsmühlenartig darauf hinweist, die Datenschutz-Grundverordnung bleibe unberührt. Die Wechselwirkung der unterschiedlichen Rechtsakte müsse viel deutlicher im Sinne eines Kollisionsrechts ausbuchstabiert werden. Tatsächlich: Dieser Konflikt droht vor dem Hintergrund des immer erbitterter geführten Kampfes gegen Hass und Hetze im Internet aus dem Blickfeld geraten zu sein.

Christine Demmer

Beitrag von Alexander Pradka

Dies könnte Sie auch interessieren

14.07
Im Zwiespalt zwischen Wettbewerbsfähigkeit und Wettbewerbsrecht
Im Zuge der Kommerzialisierung des professionellen Fußballs und folglich auch im Hinblick auf Fragen zur Finanzierung kollidieren Bestrebungen der Verbände...
2024, 2. Bundesliga, 33. Spieltag, FC St
Wer trägt die Kosten für Hochrisiko-spiele und Fanausschreitungen?
Das Bundesverfassungsgericht verhandelt aktuell den Fall der Deutschen Fußball Liga (DFL) gegen die Freie Hansestadt Bremen, die von der DFL die höheren...
Regensburg, 24.09.2021, Jahnstadion, Fussball, 2.Bundesliga, 8. Spieltag , SSV Jahn Regensburg vs
Spielervermittler: Aus der Tiefe des Raums ins Flutlicht getreten
Spielervermittler haben mitunter mit Vorurteilen zu kämpfen, ihr Ruf unter den Fans ist nicht immer der beste. Das liegt auch an den teilweise astronomischen...